Билл Бёрр признал свою ошибку. Общие правила по созданию сложных паролей, которые должны обязательно сочетать буквенно-цифровые символы и чередовать прописные и строчные буквы, по его словам «сводят людей с ума». При этом совершенно не обязательно, что эти пароли получатся сильными.
История
В 2003 году Бёрр работал в Национальном институте стандартов и технологий (NIST) и опубликовал доклад, который стал справочным руководством по созданию безопасных паролей — NIST Special Publication 800-63. Appendix A. Доклад содержал две основные рекомендации:
1. Пароли должны представлять собой комбинацию из цифр, заглавных и прописных букв, а также специальных символов.
2. Пароль необходимо менять каждые 90 дней.
Руководство Билла Бёрра стало обязательной базой, на которой основывалось создание паролей во многих компаниях.
Но что изменилось за 14 лет? Люди по прежнему используют небезопасные пароли. А в тех случаях когда к паролям не предъявляют требования по сложности, пользователи используют легко запоминающиеся (и также легко взламываемые) комбинации, такие как «123456», «111111», «password», своё имя или фамилию. А если в компании требуют сложные пароли, то пользователи лишь добавляют символы к простейшим паролям. Взломать становится немного сложнее, но все же просто. А когда много пользователей используют такой пароль, то он становится шаблоном, который кибер-преступники могут использовать для доступа к вашим аккаунтам. Кстати, если вы сомневаетесь насчёт сложности вашего пароля и думаете, что он мог быть скомпроментирован, то вы можете проверить его по базам хакеров. После этого, конечно, сразу смените пароль.
Какие пароль безопасны?
Бёрр признал, что изобретенный им метод устарел, а в некоторых случаях может быть даже небезопасным, а NIST обновили свои принципы цифровой идентификации в Digital Identity Guidelines. Теперь ключ к безопасному паролю — это использование сложных фраз со словами, которые мы можем легко запомнить.
Нужно ли часто менять пароли?
В новых рекомендациях NIST не рекомендуется регулярно менять пароли, только случае крайней необходимости. Если часто менять пароли, то рано или поздно вы начнёте их упрощать, а это повлияет на безопасность. Обычно человек поступает так:
- Создаёт новый пароль, незначительно модифицируя старый.
- Ослабляет старую комбинацию.
- Записывает свой новый пароль на бумагу и оставляет его практически в свободном доступе.
Лучше уж подольше работать под старым сложным паролем и изменять его только, если вы подозреваете, что вас взломали.
- Оригинал статьи: Strong Passwords Don’t Have to be Hard to Remember
- Изображение: xkcd
- Изображение: https://habrahabr.ru/company/mailru/blog/169801/
